20164318 毛瀚逸 Exp4 恶意代码分析

Posted breakingdoge

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了20164318 毛瀚逸 Exp4 恶意代码分析相关的知识,希望对你有一定的参考价值。

---恢复内容开始---

1 关键内容

 系统运行监控

(1)使用计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

 恶意软件分析

分析后门软件

(3)读取、添加、删除了哪些注册表项

(4)读取、添加、删除了哪些文件

(5)连接了哪些外部IP,传输了什么数据

2 系统运行监控

实验在本机中进行。设置任务计划,计划任务名为20164318,每隔1分钟运行,结果输出至C盘根目录.

 schtasks /create /TN 20164318 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > e:20164318.txt"

技术图片

同时创建一个bat文件,用于记录时间。

技术图片

(txt直接改后缀为bat)

然后直接在搜索里面打开计划任务程序,找到我们的20164318计划

技术图片

勾选上最高权限运行

技术图片

我电脑常年接电,我寻思着不用管电池的问题

 

然后把脚本选定为之前的那个bat

技术图片

这个地方忘记改文件后缀了,一直打开txt来着。。。

 

运行一段时间后得到结果

技术图片

经过和任务管理器对比,发现基本上就是网易云啊。。。wps啊等我在使用的软件,好像没有什么特别的东西。


 安装sysmon技术图片

 

并且配置好

<Sysmon schemaversion="4.20"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Log all drivers except if the signature --> <!-- contains Microsoft or Windows --> <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> <NetworkConnect onmatch="exclude"> <Image condition="end with">iexplorer.exe</Image> <SourcePort condition="is">137</SourcePort> <SourceIp condition="is">127.0.0.1</SourceIp> </NetworkConnect> <NetworkConnect onmatch="include"> <DestinationPort condition="is">5325</DestinationPort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>

打开kali,将之前设置好的后门上传到virustotal扫描

技术图片

 

 可以看到具体的信息

然后回连成功之后,可以用process monitor监管

技术图片

 

 (看不懂)

 在process explorer中可以看到具体的占用系统资源数量

技术图片

 

 

3.报告内容

  3.1实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

如果我作为恶意代码的设计者,最大的方向应该是向赚钱的方向努力,因此,个人的隐私、照片、账号,其次是针对与现在企业的“用户画像”提供数据。监控的话我认为从键盘输入,摄像头输入等等比较靠谱。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

比如上面提到的process monitor,还有之前的wireshark等等,可以具体的查出连接的端口号啥的。

 

实验心得

原来恶意代码不是像电影里面一样有帅气的UI,恰恰重点是在漏洞与边界之间的斗争,有矛就有盾,但是我们防御也要看清楚到底防御的东西在哪,这就是这次实验的意义把。

 

以上是关于20164318 毛瀚逸 Exp4 恶意代码分析的主要内容,如果未能解决你的问题,请参考以下文章

Exp2 后门原理与实践 毛瀚逸 20164318

20154322 杨钦涵 Exp4 恶意代码分析

2019-2020-2 20175303柴轩达《网络对抗技术》Exp4 恶意代码分析

2018-2019 20165208 网络对抗 Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165318 Exp4 恶意代码分析

2018-2019 20165226 Exp4:恶意代码分析